2018 kommt die Datenschutzgrundverordnung. Das Innenministerium möchte die Wirtschaft entsprechend mit einem neuen Bundesdatenschutzgesetz stärken, verursacht mit widersprüchlichen Regelungen aber ein massives Risiko, sagt Tim Wybitul.
Ab dem Mai 2018 wirkt die neue EU-Datenschutz-Grundverordnung (DSGVO) in allen 28 Mitgliedsstaaten der EU, als EU-Verordnung wirkt sie unmittelbar. Die DSGVO muss also nicht erst in nationales Recht umgesetzt werden. Deutsche Regelungen zum Datenschutz werden ab diesem Zeitpunkt durch den Anwendungsvorrang der DSGVO weitgehend verdrängt.
Zulässig bleiben vor allem flankierende Regelungen, etwa zu den Zuständigkeiten der Bundes- und Landesdatenschutzbeauftragten. Zudem enthält die DSGVO eine Reihe von Öffnungsklauseln, die spezifische nationale Regelungen ermöglicht, etwa beim Beschäftigtendatenschutz. Das Bundesministerium des Inneren (BMI) hatte bereits im August einen Referentenentwurf für ein Ausführungsgesetz vorgelegt, das den Regelungsspielraum nutzen soll, den die DSGVO gibt. Das Gesetz soll "Datenschutz-Anpassungs- und Umsetzungsgesetz EU" (DSAnpUG-EU) heißen. Dieser Entwurf war Gegenstand teils massiver Kritik, etwa durch die Bundesdatenschutzbeauftragte und das Bundesministerium für Justiz und Verbraucherschutz (BMJV).
Mittlerweile hat das BMI einen überarbeiteten Referentenentwurf an Verbände und Interessenvertreter zur Stellungnahme übermittelt. Kernstück ist ein Entwurf für ein völlig neu gefasstes Bundesdatenschutzgesetz (BDSG-E). Das Kabinett soll über den Entwurf dann bereits im Januar 2017 beraten. Offenbar soll der neue deutsche Datenschutz noch kurz vor dem Wahlkampf auf den Weg gebracht werden. Der folgende Überblick geht auf besonders relevante erste Eckdaten des BDSG-E ein.
Verwirrender Entwurf ohne klare Struktur
Die vom BMI vorgeschlagenen Regelungen sind komplex, wenig übersichtlich und selbst für Experten schwierig zu verstehen. Außerdem verlangt Erwägungsgrund 8 der DSGVO: "Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen." Zum jetzigen Zeitpunkt ist zweifelhaft, ob der BDSG-E die Kohärenz wahrt. Noch unwahrscheinlicher ist es, dass das geplante deutsche Gesetz die nationalen Rechtsvorschriften verständlicher macht.
Das wird etwa anhand des geplanten § 24 BDSG-E sichtbar. Die Norm soll den künftigen Beschäftigtendatenschutz regeln und entspricht weitgehend dem bisherigen § 32 BDSG. Dabei stellt sich allerdings die Frage, ob diese Regelung den genannten Anforderungen aus der DSGVO entspricht, etwa in Bezug auf die dort geforderte Transparenz und Vorhersehbarkeit. Es ist zwar zu begrüßen, dass sowohl die DSGVO als auch der geplante deutsche Entwurf klarstellen, dass Betriebsvereinbarungen zum Datenschutz zulässig bleiben. Dies bietet Arbeitgebern und Betriebsräten eine praxisgerechte Möglichkeit, den Datenschutz im Betrieb präzise und konkret zu regeln.
Allerdings müssen auch bereits abgeschlossene Betriebsvereinbarungen auf die neuen Anforderungen der DSGVO angepasst werden. Hier kommt teilweise viel Arbeit auf Betriebsräte und Unternehmen zu. Denn erfahrungsgemäß nimmt es nicht selten einige Zeit in Anspruch, Betriebsvereinbarungen zu IT-Anwendungen, zum Datenschutz oder zu automatisierten Verhaltens- und Leistungskontrollen neu zu verhandeln.
Einschränkung von Informationspflichten nach der DSGVO
Das BDSG-E soll die Informationsrechte nach Art. 13. und 14 DSGVO einschränken. Die zwei Artikel verpflichten denjenigen, der Daten erhebt, den davon Betroffenen darüber zu unterrichten. Insbesondere die Unterrichtungspflichten nach Art. 13 DSGVO sollen nach dem BMI-Entwurf entfallen, sofern dies "einen unverhältnismäßigen Aufwand erfordern würde" oder "voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss".
Nach der Entwurfsbegründung soll diese Ausnahme auf Art. 23 DSGVO gestützt werden, der Beschränkungen der DSGVO-Rechte zu bestimmten Zwecken erlaubt. Juristisch erscheint diese Begründung schwer nachvollziehbar. Es dürfte daher ausgesprochen interessant werden, ob Fachliteratur und später ggf. einmal die Gerichte diese Beschränkung der Informationspflichten als europarechtskonform bewerten werden. Auch §§ 32 bis 35 BDSG-E schränken die Betroffenenrechte nach Art. 13 ff. DSGVO weiter ein.
2/2: Datenschutzbeauftragte gibt es weiterhin
Obwohl Unternehmen nach der DSGVO nur unter sehr engen Voraussetzungen einen Datenschutzbeauftragten (DSB) benennen müssen, brauchen sich deutsche DSB wohl keine Sorgen um ihren Arbeitsplatz machen. Denn § 36 BDSG-E sieht vor, dass Unternehmen einen DSB benennen, falls sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen.
Unternehmen müssen auch dann einen DSB benennen, wenn sie (risikobehaftete) Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Die Bestellpflicht gilt auch, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Dies ist sinnvoll und schafft Rechtssicherheit für DSB und Unternehmen mit Niederlassungen in Deutschland.
Immense Bußgelder bei Datenschutzverstößen
Die DSGVO sieht drakonische Bußgelder von bis zu 20 Millionen Euro vor. Für große Unternehmen kommen sogar noch höhere Bußgelder in Betracht: Bei Verstößen können bis zu vier Prozent des globalen Umsatzes Strafe fällig werden. Zwar sieht der BDSG-E für Personen, die "in Ausübung ihrer Tätigkeit" gegen die Vorgaben der DSGVO verstoßen, eine Obergrenze bei den Bußgeldern von EUR 300.000 vor. Doch auch hier dürfte fraglich sein, ob diese Regelung mit der in Art. 83 Abs. 1 DSGVO angeordneten Vorgabe vereinbar ist, dass Bußgelder "wirksam und abschreckend" sein müssen.
Zudem hilft die Regelung den Vorständen oder Geschäftsführern nur bedingt, wenn Datenschutzverstöße in ihren Verantwortungsbereich fallen. Denn in einem solchen Fall sehen sie sich Regressansprüchen des Unternehmens ausgesetzt, für die wiederum die am Umsatz orientierten Bußgelder Anwendung finden können. Da es hier in der Regel um vorsätzliche Handlungen geht, treten eventuelle D&O-Versicherungen wohl nicht ein, da sie solche vorsätzliche Taten zumeist nicht abdecken.
Worauf sollen sich Unternehmen jetzt verlassen?
Der erste Eindruck des geplanten BDSG-E verheißt aus Unternehmenssicht nicht viel Gutes. Zwar versucht das BMI erkennbar, die Wirtschaft zu unterstützen. So sieht der Entwurf sieht viele Ausnahmen vor, die die Pflichten von Unternehmen bei der Datenverarbeitung einschränken sollen, was aus Unternehmenssicht zu begrüßen ist. Allerdings ist der Entwurf so schwer verständlich, dass er für Laien kaum anwendbar ist – gerade im Zusammenspiel mit der auch nicht eben einfach strukturierten DSGVO. Zudem könnten sich viele Regelungen als europarechtswidrig herausstellen.
Gerade die daraus folgende Unsicherheit stellt deutsche Unternehmen vor eine in Bezug auf künftige Risiken wichtige Weichenstellung. Denn sie müssen nun entscheiden, ob sie sich in laufenden Umsetzungsprojekten an den Vorgaben der DSGVO oder an denen des BDSG-E orientieren. Bauen sie auf den Referentenentwurf des BMI, stehen sie vor großen Problemen, wenn der Entwurf den deutschen Bundestag nicht passiert, bereits in der Ressortabstimmung scheitert oder sich – im schlimmsten Fall – im Nachhinein als nicht mit den europäischen Vorgaben vereinbar entpuppt.
Zudem erschwert das geplante BDSG-E es Unternehmen, europaweite Konzepte zur Umsetzung der DSGVO zu entwickeln und umzusetzen. Aus Sicht der Wirtschaft wäre es ausgesprochen zweckmäßig, in der gesamten EU ein einheitliches Datenschutz-Konzept anzuwenden. Der bisherige Flickenteppich von 28 unterschiedlichen Datenschutzgesetzen sollte jetzt nicht durch die Hintertür vermeintlicher Ausführungsregelungen wieder eingeführt werden. Daher werden gerade größere Unternehmen voraussichtlich eher die Anforderungen der DSGVO als die des BDSG-E in ihre Planung bei der DSGVO-Umsetzung einbeziehen. In Deutschland tätige Unternehmen sollten die weitere Entwicklung des BDSG-E jedenfalls genau weiter beobachten.
Der Autor Tim Wybitul ist Partner bei Hogan Lovells und berät Unternehmen umfassend zum Datenschutz. Bundesgerichtshof und Bundesarbeitsgericht zitieren seine Veröffentlichungen in mehreren Entscheidungen.
Tim Wybitul, BMI überarbeitet BDSG-E: Deutscher Alleingang beim Datenschutz? . In: Legal Tribune Online, 05.12.2016 , https://www.lto.de/persistent/a_id/21355/ (abgerufen am: 28.03.2024 )
Infos zum Zitiervorschlag